Genaue Details zu den verschiedenen Schwachstellen veröffentlichte HPE nicht, gibt jedoch eine Einschätzung zu den einzelnen Lücken.
Kritische Sicherheitslücken
Zwei der kritischen Sicherheitslücken erlauben es, unprivilegierten Nutzern über angrenzende Netzwerke Schadcode auszuführen oder das System mittels einer DoS-Attacke komplett zu blockieren (CVE-2022-28631, CVE-2022-28632). Die weiteren zwei kritischen Sicherheitslücken können zu demselben Verhalten führen, benötigen jedoch einen lokalen Benutzer (CVE-2022-28636, CVE-2022-28635).
Weitere Sicherheitslücken
Durch das neue Update der iLO Software werden sieben weitere Angriffsmöglichkeiten geschlossen. Die mit dem Risiko „Hoch“ definierten Lücken geben Angreifern die Möglichkeit, lokal schädlichen Code auszuführen. Lediglich CVE-2022-28633 führt dazu, dass sensible Informationen offengelegt oder nicht autorisierte Datenänderungen vorgenommen werden können.
Die aktualisierte Version können Administratoren aus dem HPE Support Center herunterladen, aufgrund des hohen Risikos wird es schnellstmöglich empfohlen.
Quellen: https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbhf04333en_us
